Phishing – на лов за доверие

от | ное. 9, 2021 | Блог, Сигурност

Не, не сте го прочели погрешно, наистина си е phishing, а не fishing (като „риболов“), макар че пак има примамка и пак уловените са тези, което не внимават. До докато във втория случай това са рибите, подлъгани от рибарите, когато става дума за явлението, уж с правописна грешка, жертвата може да бъде всеки от нас.

На български още си нямаме превод за това явление, с което продължаваме поредицата от публикации за сигурността онлайн в блога на ZETTAHOST.bg. То може да ви прозвучи като нещо далечно, невъзможно… докато изведнъж не се окажете жертва, подлъгани от умелите хватки на онлайн зложелателите. В следващите редове ще се спрем на най-важните правила за това как да се предпазим от неприятното явление phishing, което надали някога ще изчезне от онлайн комуникацията.

 

На въдицата

Интересно е, че на български сме свикнали да използваме турската дума „балък“ за човека, който лесно се е поддал на опит да бъде измамен по някакъв начин. А тя си значи рибар, обикновено рибарят е по-хитрият, в най-лошия случай ще остане без улов.

Проблемът определено е за този, който попадне в „ролята“ на рибата.

Тази тема има доста общо със социалното инженерство, за което вече сме ви разказвали подробно. И все пак, тя е едно конкретно негово изражение, което е сред най-честите, най-успешни и най-доходоносни за зложелателите онлайн атаки. И определено си заслужава да се обърне повече конкретно внимание.

 

Кликни ме тук, и тук, и тук

И така, става дума за тип атака в областта на социалното инженерство, при която целта е да бъдат откраднати данните на потребителя – независимо дали става дума за потребителско име и парола, или цифрите от кредитната карта. При нея потребителят е подведен да кликне върху зловреден линк. И това е целият принцип.

Всъщност, точно както при риболова, сравнението е много точно. И също както при рибарите, важното е да се намери правилната примамка, по която жертвата да се подведе.

Вариантите за „стръв“, която може да се използва, са безкрайни. От обичайните имейли, чиято цел е да изглеждат „като истински“ през персонализирани атаки, които търсят по-прецизно таргетиране на жертвата. Например, ако се знае, че даден човек има сметка в дадена банка и именно от имейл, подобен на нейния, дойде съобщение, което изглежда съвсем неразличимо от истинските, шансът за успех е значително по-голям.

 

И ловец съм, и рибар съм

В такива случаи атаката минава през други форми на социално инженерство, а, както доста често е ставало дума в поредицата за сигурността онлайн в блога на ZETTAHOST.bg, атаките стават особено опасни, когато комбинират повече от един вектор.

Нататък, развитието на атаката може да има много и все неприятни последствия. Откраднат профил в социална мрежа, „покупки“ с кредитната карта на жертвата. Кражба на лични данни, което пък е особен проблем, ако нападението е насочено към обществени личности.

Резултатът може да е еднократен, или пък да продължава нататък с времето. Така или иначе, основното, което си струва да имаме предвид, стане ли дума за phishing, е винаги да сме бдителни.

 

Доверявай, но проверявай

Да ни кара да се съмняваме дори малкото отклонение във всеки имейл. Ако, например, идва от банка, да обърнем внимание дали наистина адресът на подателя изглежда достатъчно убедително. Ако се окаже klfsdd@dfsdfdf.dc, най-вероятно подателят наистина не е финансовата институция, която уж пише, че е.

Пред последните години, за щастие, phishing атаките не са чак толкова чести в света на социалните мрежи. И все пак, от време на време, дори тяхната защита пада жертва. Имайте едно наум, ако ви пращат покани профили, които не вдъхват доверие под някаква форма. И, разбира се, ако приятели или просто познати ви изпращат линк с някакъв необичаен за тях текст. В огромна част от случаите се оказва, че нещо не е наред.

Истината е, че усет за всяко от тези правила постепенно и неизбежно развива всеки от потребителите онлайн, сблъсквайки се с все повече примери, които го карат да бъде бдителен.

 

Сигур…Но!

А това, от своя страна, понякога също може да изиграе лоша шега. Защото phishing атаките не спират да бъдат особено ефективни, да са една от най-големите опасности онлайн, главно понеже не спират да се развиват.

Защото, както и всички други проблеми пред уеб сигурността в групата на социалното инженерство, се целят не в софтуера, а в неговия потребител. И доколкото, заобиколени или не от технологии, си оставаме хора, арсеналът на атакуващите постоянно се развива и придобива нови измерения. Персонализираните атаки са особено опасни, но дори и иначе опасността е налице, защото този тип хакерски нападения могат да приемат различни лица.

И предпазването от тях не минава през заучаването на няколко прости правила, които събрахме накратко преди малко. То по-скоро е начин на мислене. Всички, малко или повече, го развиваме чрез ежедневните си взаимодействия в мрежата. Често се налага да обръщаме повече внимание на по-възрастните хора край нас, на тези с по-малко опит в онлайн комуникацията, които са доста по-застрашени от подобен тип атаки.

 

За щита

Но никой не е защитен от тях. Дали става дума за неочаквано добре симулирана реална комуникация, за една буквичка, променена в даден адрес, която няма как да бъде забелязана, никой не е застрахован.

Затова и надали phishing атаките някога ще спрат, както няма шанс и рибарите да оставят на мира водоем, пълен с риба, където винаги могат да пускат отдалеч изкусителната си стръв. Въпросът е да внимаваме, поне толкова, колкото ни е по силите.

Освен това, както стана дума, колкото по-многопластова е атаката, толкова по-опасна става. Но същото важи и от другата страна. Колкото повече са мерките за защита, толкова е по-малък рискът. Използвайте колкото можете по-трудни за отгатване пароли, различни на отделните сайтове. Активирайте двуфакторната автентикация, където е възможно.

Но най-важното, помнете, че има защо най-трудно онлайн да се печели именно доверието.

 

Възел от пъзел

И отново нека за всеки случай завършим с най-важното. Информационната сигурност работи само когато е на много нива, които се допълват и покриват. Липсата дори на едно от тях може да провали всичко.

Темата разглеждаме стъпка по стъпка в мащабна поредица от публикации в секцията за сигурността в блога на ZETTAHOST.bg.

От списъка с конкретните атаки, за които да сме подозрителни, вече ви разказахме за DoS и DDoS, SQL Injection, Cross-site Scripting, Cross-Site Request Forgery и XXE.

Разгледахме внимателно и човешките фактори от двете страни на темата за сигурността с материали за социалното инженерство, „белите хакери“ и сигурността чрез неизвестност. Акцентирахме и върху нашумели технологии като VPN и IoT и рисковете, които идват с тях.

Сигурността за нас винаги е на първо място и това в пълна степен важи за хостинга, който предлагаме. Можете да започнете да го ползвате напълно безплатно тук!

<a href="https://www.zettahost.bg/author/georgik/" target="_self">Георги Караманев</a>

Георги Караманев

Георги е журналист, писател и Front-end програмист – част от екипа на ZETTAHOST.bg. Има повече от 15 години опит в подготвянето на публикации на технологична тематика за Списание 8, в. „24 часа“ и други медии. През 2019 г. и 2021 г. получи наградите в категория „Технологии и иновации“ от конкурса на Dir.bg за чиста журналистика Web Report.
Последвайте ни

Най-нови публикации:

Ама сигурни ли сте? Валидация преди всичко!

Правим го по хиляди пъти всеки ден. Отваря се някакво поленце на поредния сайт, попълваме, засилваме нататък и после пак… Не, няма пак, защото нещо не сме уцелили и страницата ни спира да продължим. Валидацията на данни е основополагащ принцип за днешните сайтове....

Името на Apple-а. Откъде идват имената на най-големите?

„Туй, което зовем ний „роза“, ще ухае сладко под всяко друго име“, казва Жулиета, цитирана от Шекспир. А туй, което зовем Apple или Amazon, щеше ли да ухае сладко под друго име? Можем само да гадаем. И все пак, зад имената на някои от най-големите в онлайн света...

Agile: Гъвкавият нов свят

Започваме с бърз тест. Чували ли ли сте за „дейли“, „стендъп“, „грууминг“, „спринт планиране“? Ако сте отговорили с „да“ на повече от половината въпроси, без да се налага да вземаме хляба на пророците, ще ви кажем, че определено имате опит в света на софтуерните...

Как вашият WordPress да „проговори“ чужд език?

Много скоро въпросът с чуждите езици няма да го има. Технологиите напредват светкавично, машинният превод се усъвършенства през погледа на всички ни. Темата с езиците обаче все още си стои отворена и за момента има много отговори. Особено ако имате сайт (или планирате...

Man in the middle. Кой стои по средата?

Човекът по средата… Man in the middle. В любовните романи това много често е причината за сериозни проблеми. В онлайн света също. Защото зад това определение се крие още една особено опасна атака над киберсигурността, за която си струва да знаем поне основните...

Личен сайт безплатно!

Регистрирай се безплатно и си направи сайт още днес.

Безплатната хостинг услуга на ZETTAHOST.bg няма скрити такси и изисквания за ползване.

Безплатен хостинг

Pin It on Pinterest

Share This